收集 Imperva 稽核記錄檔

本文說明如何使用 Amazon S3，將 Imperva 稽核記錄檔擷取至 Google Security Operations。Imperva 稽核追蹤記錄會完整記錄 Imperva 帳戶中的所有管理動作，包括使用者登入、設定變更、政策修改和系統事件。整合後，您就能將這些稽核記錄傳送至 Google SecOps，進行法規遵循監控和安全性分析。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• AWS 的特殊存取權
• Imperva 控制台的特殊權限

收集 Imperva Audit Trail 的必要條件 (API 憑證)

1. 前往 my.imperva.com 登入 Imperva 控制台。
2. 依序前往「帳戶」>「帳戶管理」。
3. 在側欄中，依序按一下「SIEM Logs」>「Log Configuration」。
4. 按一下「新增連線」。
5. 選取「Amazon S3」做為傳送方式。
6. 設定 Amazon S3 的連線：
   • 連線名稱：輸入描述性名稱 (例如 Google SecOps Integration)。
   • 存取金鑰：您的 S3 存取金鑰。
   • 密鑰：您的 S3 密鑰。
   • 路徑：bucket 路徑，格式為 <bucket-name>/<folder> (例如 imperva-audit-trail-logs/chronicle)。

為 Google SecOps 設定 AWS S3 值區和 IAM

1. 按照這份使用者指南建立 Amazon S3 bucket：建立 bucket。
2. 儲存 bucket 的「名稱」和「地區」，以供日後參考 (例如 imperva-audit-trail-logs)。
3. 請按照這份使用者指南建立使用者：建立 IAM 使用者。
4. 選取建立的「使用者」。
5. 選取「安全憑證」分頁標籤。
6. 在「Access Keys」部分中，按一下「Create Access Key」。
7. 選取「第三方服務」做為「用途」。
8. 點選「下一步」。
9. 選用：新增說明標記。
10. 按一下「建立存取金鑰」。
11. 按一下「下載 CSV 檔案」，儲存「存取金鑰」和「私密存取金鑰」以供日後參考。
12. 按一下 [完成]。
13. 選取「權限」分頁標籤。
14. 在「權限政策」部分中，按一下「新增權限」。
15. 選取「新增權限」。
16. 選取「直接附加政策」。
17. 搜尋 AmazonS3FullAccess 政策。
18. 選取政策。
19. 點選「下一步」。
20. 按一下「Add permissions」。

設定 S3 上傳的身分與存取權管理政策和角色

1. 在 AWS 控制台中，依序前往「IAM」>「Policies」。
2. 按一下「建立政策」>「JSON」分頁。

3. 輸入下列政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
       },
       {
         "Sid": "AllowGetObjects",
         "Effect": "Allow", 
         "Action": "s3:GetObject",
         "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
       },
       {
         "Sid": "AllowListBucket",
         "Effect": "Allow",
         "Action": "s3:ListBucket", 
         "Resource": "arn:aws:s3:::imperva-audit-trail-logs"
       }
     ]
   }
   

   • 如果您輸入其他 bucket 名稱，請替換 imperva-audit-trail-logs。

4. 依序點選「下一步」>「建立政策」。

5. 依序前往「IAM」>「Roles」>「Create role」>「AWS service」>「Lambda」。

6. 附加新建立的政策。

7. 為角色命名 imperva-audit-trail-s3-role，然後按一下「建立角色」。

設定 Imperva Audit Trail S3 連線

1. 返回 Imperva 控制台 SIEM 記錄設定。
2. 使用 AWS 憑證更新 Amazon S3 連線：
   • 存取金鑰：具有 S3 bucket 存取權的使用者存取金鑰。
   • 私密金鑰：具有 S3 bucket 存取權的使用者私密金鑰。
   • 路徑：以 imperva-audit-trail-logs/chronicle 格式輸入路徑。
3. 按一下「測試連線」，驗證連線。
4. 確認連線狀態顯示為「可用」。

設定稽核記錄匯出作業

1. 在「連線」表格中，展開 Amazon S3 連線。
2. 按一下「新增記錄類型」。
3. 提供下列設定詳細資料：
   • 設定名稱：輸入描述性名稱 (例如 Audit Trail Logs to Chronicle)。
   • 選取服務：選擇「稽核記錄」。
   • 選取記錄類型：選取「AUDIT_TRAIL」記錄類型。
   • 格式：JSON (稽核記錄的結構化格式)。
   • 狀態：設為「已啟用」。
4. 按一下「新增記錄類型」即可儲存設定。

選用：為 Google SecOps 建立唯讀 IAM 使用者和金鑰

1. 前往 AWS 控制台 > IAM > Users。
2. 點選 [Add users] (新增使用者)。
3. 提供下列設定詳細資料：
   • 使用者：輸入 secops-reader。
   • 存取類型：選取「存取金鑰 - 程式輔助存取」。
4. 按一下「建立使用者」。
5. 附加最低讀取權限政策 (自訂)：依序點選「Users」(使用者) >「secops-reader」>「Permissions」(權限) >「Add permissions」(新增權限) >「Attach policies directly」(直接附加政策) >「Create policy」(建立政策)。

6. 在 JSON 編輯器中輸入下列政策：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::imperva-audit-trail-logs/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::imperva-audit-trail-logs"
       }
     ]
   }
   

7. 將名稱設為 secops-reader-policy。

8. 依序前往「建立政策」> 搜尋/選取 >「下一步」>「新增權限」。

9. 依序前往「安全憑證」>「存取金鑰」>「建立存取金鑰」。

10. 下載 CSV (這些值會輸入至動態饋給)。

在 Google SecOps 中設定資訊提供，擷取 Imperva 稽核記錄

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「+ 新增動態消息」。
3. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Imperva Audit Trail logs)。
4. 選取「Amazon S3 V2」做為「來源類型」。
5. 選取「Imperva Audit Trail」做為「記錄類型」。
6. 點選「下一步」。
7. 指定下列輸入參數的值：
   • S3 URI：s3://imperva-audit-trail-logs/chronicle/
   • 來源刪除選項：根據偏好設定選取刪除選項。
   • 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
   • 存取金鑰 ID：具有 S3 儲存空間存取權的使用者存取金鑰。
   • 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：套用至這個動態饋給事件的標籤。
8. 點選「下一步」。
9. 在「完成」畫面中檢查新的動態饋給設定，然後按一下「提交」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。